Notícias

Falha Crítica no Evernote Add-On Dados Sensíveis Expostos de Milhões

Uma falha crítica na extensão do Chrome do Evernote Web Clipper pode permitir que invasores em potencial acessem informações confidenciais de usuários de serviços on-line de terceiros.

“Devido à ampla popularidade da Evernote, esta questão tem o potencial de afetar seus consumidores e empresas que usam a extensão – cerca de 4.600.000 usuários no momento da descoberta”, disse a empresa de segurança Guardio, que descobriu a vulnerabilidade.

A falha de script de cross-site universal

O problema de segurança é um UXSS (Universal Cross-Scripting Scripting) (também conhecido como Universal XSS) rastreado como CVE-2019-12592  e derivado de um erro de codificação lógica do Evernote Web Clipper que tornou possível “ignorar a mesma política de origem do navegador, concedendo a privilégios de execução de código do invasor em Iframes além do domínio do Evernote. “

Quando o recurso de segurança de isolamento do site do Chrome  é quebrado, os dados de usuários de contas de outros sites não são mais protegidos e isso permite que os agentes acessem informações confidenciais de usuários de sites de terceiros “, incluindo autenticação, finanças, conversas privadas em mídias sociais, e-mails pessoais , e mais.”

Explorando a falha
Explorando a falha

Isso pode ser feito redirecionando os alvos para sites controlados por hackers que carregam iframes ocultos com os sites de terceiros e disparam uma exploração projetada para forçar o Evernote a injetar uma carga maliciosa em todos os iframes carregados, uma carga que “rouba cookies, credenciais, informações privadas, executar ações como o usuário e muito mais. “

Guardio projetou  uma Prova de Conceito (PoC) funcional para a falha CVE-2019-12592 que demonstra como obter acesso à mídia social e informações financeiras, dados de compras, mensagens privadas, dados de autenticação e e-mails de qualquer pessoa usando um vulnerável Versão de extensão do Chrome do Evernote Web Clipper .

Vulnerabilidade do Evernote Web Clipper UXSS já corrigida

O Evernote já corrigiu totalmente a vulnerabilidade em menos de uma semana após receber o relatório de divulgação responsável da Guardio em 27 de maio e lançou a correção para todos os usuários em 31 de maio, com o patch sendo confirmado como totalmente funcional em 4 de junho.

Para ter certeza de que você está usando uma versão com patches da extensão do Evernote Web Clipper Chrome, você precisa ir para a página da extensão do Evernote Chrome em chrome: // extensions /? Id = pioclpoplcdbaefihamjohnefbikjilc e verificar se você tem a versão 7.11.1 ou superior instalada .

“A vulnerabilidade que descobrimos é um testemunho da importância de examinar as extensões do navegador com cuidado extra. As pessoas precisam estar cientes de que mesmo as extensões mais confiáveis ​​podem conter um caminho para os invasores”, disse Michael Vainshtein, da Guardio CTO.

“Tudo o que precisamos é de uma única extensão insegura para comprometer tudo o que você faz ou armazena on-line. O efeito cascata é imediato e intenso.”

Em 2017, o Evernote teve de recuar em uma proposta de “aprimoramento” da Política de Privacidade, que permitia aos membros de sua equipe ler as anotações não criptografadas dos usuários após uma enorme repercussão do usuário.

Mais recentemente, em meados de abril , o Evernote corrigiu uma vulnerabilidade de passagem de caminho que permitia aos invasores executar remotamente aplicativos ou arquivos armazenados localmente nos Macs de seus destinos.

Fonte

To Top